zurück zum Artikel

Pwn2Own 2016: Hacker-Wettbewerb zahlt 460.000 US-Dollar aus

Pwn2Own 2016

Kryptologen machen sich beim Pwn2Own-Wettbewerb über Flash & Co. her.

(Bild: Screenshot )

Sicherheitsforscher haben 21 Zero-Day-Lücken in OS X, Windows und verschiedenen Webbrowsern gefunden. Einmalig in der Geschichte des Pwn2Own-Wettstreits: Alle erfolgreichen Attacken statteten die Angreifer mit System-Rechten aus.

Beim diesjährigen Pwn2Own-Wettbewerb entdeckten Kryptologen[1] innerhalb von zwei Tagen insgesamt 21 neue Sicherheitslücken in Chrome, Edge, Flash, OS X, Safari und Windows. Dafür wurde insgesamt eine Prämie von 460.000 US-Dollar ausgeschüttet. Hinter der Veranstaltung stecken Hewlett Packard Enterprise (HPE), Trend Micro und die Zero Day Initiative (ZDI).

Den Wettstreit gibt es seit 2007. Die Teilnehmer müssen beim Pwn2Own unbekannte Schwachstellen in Windows & Co. finden und erfolgreich ausnutzen. Klappt das, bekommen sie das gehackte Gerät und eine Geldprämie als Belohnung.

Infos zu den Lücken werden direkt an die Hersteller weitergegeben, damit diese zeitnah Sicherheits-Patches anbieten können. Bis dahin schützen etwa die Intrusion Prevention Systeme von HP, die der Veranstalter bereits mit passenden Signaturen zum Aufspüren und Blockieren der Exploits versieht.

Beim Pwn2Own gab es 2016 erstmals einen Gewinner des Wettbewerbs. Dafür wurden Master of Pwn-Punkte vergeben. Diese setzen sich aus der betroffenen Anwendung und dem Schweregrad der Lücke zusammen. Mit 38 Punkten findet sich das Tencent Security Team Sniper an der Spitze.

Die Sicherheitslücken-Statistik in diesem Jahr liest sich wie folgt:

Firefox war dieses Jahr nicht mit von der Partie. Denn die Sicherheitsmechanismen des Webbrowsers wurden im Vergleich zum Vorjahr nicht verbessert, erläutert Brian Gorenc, Manager Vulnerability Research HPE.

Die höchste Einzelprämie von 85.000 US-Dollar strich der Hacker JungHoon Lee (lokihardt) mit seinem Exploit für den Webbrowser Edge ein. Dabei machte er sich eine nicht initialisierte Stack-Variable in Edge in Kombination mit einer Directory-Traversal-Anfälligkeit in Windows zunutze, um sich System-Rechte zu erschleichen. Dieses Jahr führten alle Exploits dazu, dass Hacker System-Rechte erhielten; das gab es bisher noch nicht. (des[2])


URL dieses Artikels:
http://www.heise.de/-3145848

Links in diesem Artikel:
[1] http://blog.trendmicro.com/pwn2own-day-2-event-wrap/
[2] mailto:des@heise.de